W szkodliwym oprogramowaniu Duqu znajdują się następujące trzy grupy komponentów.
- Narzędzie Keylogger (keylogger.exe)
- Grupa Jminet7 (grupa sterowników Jminet7.sys)
- Grupa CMI4432 (grupa sterowników CMI4432.sys)
Te trzy grupy komponentów przedstawiono na rysunku
Narzędzie Keylogger to samodzielny plik wykonywalny, który nie wymaga wcześniejszej instalacji. Zawiera bibliotekę DLL, która jest wewnętrznie zaszyfrowana i zapewnia funkcje keyloggera. Główny keylogger wstrzykuje i kontroluje procesy keyloggera. W rejestrze zdefiniowana jest usługa, która ładuje sterownik Jminet7.sys podczas uruchamiania systemu Windows. Ten sterownik ładuje dane konfiguracyjne i wstrzykuje ładunek DLL netp191.pnf do procesu systemowego. Dane konfiguracyjne są przechowywane w pliku netp192.pnf, który jest zaszyfrowanym plikiem konfiguracyjnym. Podobnie w rejestrze definiowana jest usługa, która ładuje sterownik CMI4432.sys podczas procesu uruchamiania systemu Windows. Ten sterownik wprowadza ładunek DLL CMI4432.pnf do procesu systemowego, a dane konfiguracyjne są przechowywane w zaszyfrowanym pliku konfiguracyjnym CMI4464.pnf. Grupy Jminet7.sys i CMI4432.sys różnią się tylko ładunkiem. CMI4432.sys zawiera ważny podpis cyfrowy tajwańskiego producenta C-Media